地址解析协议 ARP（Address Resolution Protocol）

（1）ARP头

（2）数据包分析

长度：8 位/字节，MAC 地址 48 位，即 6 字节，IP 地址 32 位，即 4 字节。

（3）无偿的 ARP

当 IP 地址改变后，网络主机中缓存的 IP 和 MAC 映射就失效了，为了防止通信错误，无偿 ARP 请求被发送到网络中，强制所有收到它的设备更新 ARP 映射缓存。

IP协议

（1）ip头

服务类型：优先级标志位和服务类型标志位，用来进行 QoS

标识符：识别一个数据包或被分片数据包的次序，唯一

标记：标记数据包是否是一组分片数据包的一部分

分片偏移：该数据包是个分片，数据包按分片偏移值顺序重组

存活时间 TTL：超过 TTL 时间，数据包将被丢弃

（2）ip数据包分析

（3）ip数据包分片

将一个数据流分为更小的片段，是 IP 用于解决跨越不同类型网络时可靠传输的一个特性。

基于第 2 层数据链路协议所使用的最大传输单元 MTU（Maximum Transmission Unit）的大小，默认是 1500 字节（不包含 14 字节的以太网头本身），当数据包大小大于 MTU 时会被分片。

传输控制协议 TCP（Transmission Control Protocol）

为数据提供可靠的端到端传输，处理数据的顺序和错误恢复，保证数据能够到达其应到

达的地方。

（1）TCP头

序号：表示一个 TCP 片段。

确认号：希望从另一个设备得到的下一个数据包的序号。

紧急指针：如果设置了 URG 位，紧急指针将告诉 CPU 从数据包的哪里开始读取数据。

（2）TCP端口

1~1023：标准端口组，特定服务会用到标准端口。

1024~65535：临时端口组，操作系统会随机地选择一个源端口让某个通信单独使用。

（3）TCP标志

（4）TCP的三次握手

第一次握手syn包

第二次握手syn/ack包

第三次握手ack包

（5）TCP的四次断开

第一次断开

第二次断开

第三次断开

第四次断开

（6）TCP的重置

当 TCP 连接中途突然断掉，使用 RST 标志位指出连接被异常中止或拒绝连接请求。

用户数据报协议 UDP（User Datagram Protocol）

快速、无连接、不可靠，DNS 和 DHCP 就是使用 UDP 作为传输协议，而它们自己进行

错误检查及重传计时。

（1）UDP头

（2）UDP数据包分析

结语

以上就是通过wireshark抓包，对网络底层协议数据包进行分析，从而帮助排除网络故障。